outlook彈證書警告的問題總結

最近通過搜集，整理了一些outlook客戶端彈證書警告的問題匯總，分享給大家。

報錯一：
該證書已經到期或還未生效

排查步驟
我們可通過以下兩種方式，來檢查證書的有效時間：

a. 在Outlook客戶端，通過點擊“查看證書“，查看證書是否在有效期內：

b. 在服務器端，使用以下命令來查看：
Get-ExchangeCertificate | fl Subject,NotBefore,NotAfter,Services

該問題一般是證書過期引起的，針對這種情況在ECP/EMC中更新（Renew）一下證書并重新分配服務即可。

報錯二：
頒發該安全證書的公司不是你信任的公司。請查看證書以確定是否要信任該安全證書驗證機構

排查步驟
出現該證書彈窗，一般是因為使用的自簽名證書，或內部CA證書從外網訪問。可以從ECP中查看證書是否為自簽發證書，或內部CA頒發。

排查和解決方案如下：

a. 正在使用自簽名證書
I. 點擊"查看證書"，把該證書導入到當前電腦的根信任目錄中:

II. 使用內部CA頒發的證書，或購買三方證書來代替現有的自簽名證書。(如果使用內部CA證書仍然出現該問題，可以按照上圖手動導入該證書)

b. 使用內部CA頒發的證書在外網訪問：
I. 手動把內部CA證書導入到本機的根信任目錄中
II. 申請三方證書來替換現有的內部CA證書

報錯三：
安全證書上的名稱無效或與網站的名稱不相符

排查步驟
這個報錯是由于正在使用的證書中包含的SAN和Outlook嘗試訪問的URL不同。

可通過以下的兩種方式來查看：

a. 直接點擊 “查看證書” 檢查這一個參數“Subject Alternative Name”

b. 使用命令行進行查看

I. 在服務器端，使用以下的命令來查看證書中包含的域名：

Get-ExchangeCertificate | fl Subject,CertificateDomains,Services
II. 使用以下的命令，查看服務器各個服務使用的URL
Outlook端使用的服務：
Get-OutlookAnywhere | Select Server,InternalHostName,ExternalHostName
Get-MAPIVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-OABVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-WebServicesVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-ClientAccessServer | Select Name,AutoDiscoverServiceInternalUri

其他服務（Web端+手機端+Powershell）：
Get-OWAVirtualDirectory | Select Server, InternalURL,ExternalURL
Get-ECPVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-ActiveSyncVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-PowerShellVirtualDirectory | Select Server,InternalURL,ExternalURL

解決方案（二選一）：

1. 使用類似于以下的命令來修改各個服務的虛擬目錄，使其URL和證書中的記錄相同。（確保修改后的URL能夠被成功解析）
   Set-OABVirtualDirectory -Identity "Server1\OAB (Default Web Site)" -ExternalUrl "https://E13.domain.com/OAB"
2. 重新申請一張證書，確保包含正確的記錄在里面。

以下為應用證書時額外需要注意的：
? 證書是基于服務器的，所以當環境中有多臺Exchange服務器（分角色安裝）的時候，為一臺服務器安裝或者更新證書之后一般也需要把證書導入到其他服務器上。
? 當把IIS服務分配到新的證書后，需要在CMD中以管理員權限運行IISReset來強制更新一下IIS服務。
? 需要把該證書上的服務分配給其它證書后才能成功刪除該證書。